OpenID è davvero così male?


31

Ho visto questa domanda su Quora in cui molte persone sembrano concordare sul fatto che OpenID è un male, anche spingendo fino a dire che:

OpenID è la peggiore "soluzione" che io abbia mai visto in tutta la mia vita a un problema che la maggior parte delle persone non ha

Poi ho visto articoli e tweet che fanno riferimento a quella domanda dicendo che OpenID ha perso e Facebook ha vinto.

È triste leggere come mi piace l'OpenID (o almeno l'idea alla base). Odio letteralmente ottenere ancora un altro login / password per la pagina (lo dimenticherò comunque) - è un problema abbastanza serio per me e conosco molte persone con lo stesso problema. Quindi ho pensato che OpenId fosse un'ottima soluzione ma non ne sono più sicuro.

Quindi la domanda è: dovrei ancora preoccuparmi di implementare OpenID o non ne vale la pena? Qual è il modo più robusto e conveniente (dal punto di vista dell'utente) per identificare e autenticare un utente?


7
OpenID ha i suoi difetti, ma dal momento che non ho sentito nulla di meglio per sostituirlo, non direi che ha perso. Facebook non è un'alternativa a OpenID, poiché è centralizzato e molte persone semplicemente non vogliono avere un account Facebook. Ne vale la pena? Secondo la mia opinione soggettiva, lo è.

Risposte:


13

Questa discussione nasce sempre a causa di un fatto ampiamente ignorato: OpenID non è mai stato progettato come protocollo di accesso. Questa è un'attribuzione successiva.

OpenID è stato concepito come servizio di verifica dell'URL della homepage . E per quello era praticabile. Ma a causa della mancanza di alternative è stato rapidamente riproposto come protocollo di accesso generale. Alcune funzionalità sono state realizzate su (registro semplice, scambio di attributi) per facilitare al meglio. Ma al centro OpenID è uno schema di verifica dell'autorità URL.

Questo è da dove derivano errori di usabilità e implementazione. Il vantaggio del multi-accesso è significativo solo per gli utenti tecnicamente affini, non una vera semplificazione per gli utenti ordinari. (Non farmi iniziare sulla robustezza; ho appena recuperato il mio login StackOverflow.)
Ma non esiste ancora un'alternativa diffusa o tecnicamente superiore (c'erano alcuni precedenti OpenID ma mancavano parole d'ordine e assorbimento di marketing). Come avido sostenitore dell'open source prenderei anche in considerazione il passaporto o lo spazio carte di Microsofts qualunque cosa ci sia, ma attualmente non è un'opzione.

Torna alla tua domanda: attenersi a OpenID. Per gli utenti ordinari rendere possibili coppie nome utente / password oldschool e OpenID opzionale. Forse OpenID3 trova un'adozione diffusa e risolve alcuni dei problemi. O forse arriva qualcos'altro. L'idea generale alla base del concetto era interessante.


È un fatto interessante, non lo sapevo. Grazie per la risposta Come ho già detto prima, temo che l'implementazione di "tutto" (come da mio commento sul post di @DeveloperArt) spaventerà e / o confonderà gli utenti, ma forse mi sbaglio e, se fatto bene, questo è il soluzione migliore?
DoPPler,

11

Non puoi implementare ENTRAMBI?

Ognuno sceglie l'opzione in base alle sue preferenze e allo stato di paranoia.

OpenID offre una grande comodità. Fornisce inoltre un rischio di sicurezza ancora maggiore.

[Rischio dell'utente] Cosa succede se Facebook / Google / ecc. decidi che il tuo account è stato compromesso e devi fornire il tuo numero di telefono o una copia del passaporto per riattivarlo? Vuoi andare per questo?

[Rischio dell'azienda] Cosa succede se Facebook / Google / ecc. decidere di chiudere il servizio o iniziare a caricarlo? Quindi come proprietario del sito sei massicciamente fregato.

[Spionaggio dei dati] Perché consentire loro di raccogliere le statistiche dettagliate da molti siti di consumatori e aiutarli a creare profili personali delle persone? Chissà cosa ne faranno? Vendilo, usalo per adattare le loro tattiche di marketing, inviarlo alla CIA?

Amico, è così semplice e basilare: evita di dipendere da qualcuno e decidi tu stesso quando e se ti succederà.


Potrei andare e implementare entrambi, è vero. Potrei aggiungere il supporto per qualsiasi provider OpenID tramite URL, quindi elencare 3-4 quelli più popolari, quindi aggiungere il supporto OAuth per Facebook e Twitter e quindi aggiungere il mio vecchio (buono?) Login / password / registrazione e-mail / modulo di login per gli utenti che non importa ancora un'altra password. Il fatto è che non voglio spaventare i miei utenti, voglio solo che siano in grado di accedere rapidamente. Per quanto riguarda i rischi per la sicurezza menzionati, sono davvero così enormi ?
DoPPler,

La probabilità che si verifichino non è enorme, ma se accadono le loro conseguenze saranno enormi.

4
Ad ogni modo, tieni presente che molte persone non hanno un account Facebook e non lo creeranno. Non è saggio negare loro l'accesso.

Molti punti positivi qui @Developer Art sul non dipendere da un singolo fornitore, per affari e per un individuo. I sistemi di commento di Disqus e Wordpress hanno capito che offrono agli amministratori (e agli utenti) una scelta di OpenID, Yahoo, Google, Facebook, Twitter, forse di più. E offri l'opportunità di associare gli ID ma non è necessario. Secondo aspetto positivo: evitare di consentire a un'entità di aggregare le tue informazioni! Così vero. Può succedere comunque. Perché renderlo più facile usando lo stesso provider ogni volta? Inoltre: all-Facebook, SOLO il mondo di Facebook NON è la soluzione! Vorrei poterti dare più voti.
Ellie Kesselman,

I tuoi argomenti contro OpenID sono in realtà argomenti per OpenID! Chiunque può avviare la propria autorità OpenID. Non devo creare un account Google o Facebook per accedere a un sito che utilizza OpenID. Ora che Google ha staccato la spina su OpenID come mezzo per promuovere il proprio servizio Google+, probabilmente lo faranno anche altri e abbiamo perso la battaglia per uno standard veramente aperto per l'accesso ai siti.
Brad,

5

In realtà, penso che il problema principale con OpenID non sia l'implementazione o la facilità d'uso di esso sia negativa. Né credo siano i problemi di sicurezza con OpenID, di per sé. Penso che il problema principale sia che si tratta di una soluzione alla ricerca di un problema, un problema che, per la maggior parte degli utenti, non è comunque un grosso problema.

Una soluzione migliore al problema di dover ricordare molte password, ecc. È quella di utilizzare un'applicazione di gestione password. Un gestore di password semplifica anche il processo di registrazione, poiché popolerà automaticamente tutti i campi comuni (nome, ecc.) E genererà automaticamente una password casuale. L'unica cosa che devi fare, in genere, è verificare il tuo indirizzo email.


Questo è molto vicino a quello che sembra essere l'opinione generale di Quora, ma ho sentito molte volte dai miei amici sia tecnici che non tecnici che hanno un problema nel tenere traccia di più password, quindi non credo questo è un problema che "non esiste" (tuttavia potrebbe essere meno fastidioso di quanto ne pensi). Sicuramente l'uso di un gestore di password è una soluzione (non senza difetti propri), ma sto cercando una tecnologia che potrei implementare per aiutare i miei visitatori a vivere un'esperienza sing-in migliore.
DoPPler,

1

Il problema con openid, o più in generale, con una selezione di provider di account sul sito Web con cui accedere al tuo sito Web, è che gli utenti tendono a dimenticare quale provider hanno scelto prima. Un giorno possono usare google, il mese prossimo possono usare facebook e tre mesi dopo forse twitter. Per il sito Web, sembreranno tre utenti diversi. In tal caso gli utenti si sentono frustrati perché possono accedere al proprio sistema, ma non allo stesso account di prima.


1
Ne sei sicuro? Mi chiedevo la stessa cosa non appena ho sentito parlare di OpenID. Ho provato a mettermi alla prova, per vedere se quello che hai descritto è vero. A volte è, come in StackExchange, con la loro implementazione di OpenID. Ma altri siti Web eseguono correttamente l'associazione agli accessi precedenti o chiedono se avessi un account precedente e indicano il provider OpenID passato in modo generale. Forse è a causa di un accesso OpenID-OAuth combinato? Non lo so. Ma sono d'accordo con te, gli utenti dimenticano quale provider hanno scelto prima! È un vero problema
Ellie Kesselman,

0

I problemi principali con OpenID, come vedo, sono due:

  • A) Non è facile da usare per i ragazzi non tecnici
  • B) Non è ampiamente usato come le alternative

Su A, per un utente che vede un pulsante "accedi con Facebook" è facile e semplice da ottenere. Vedere un controllo con 10 icone (Google, Yahoo, AOL, ecc.) È confuso. Ancora di più il fatto che il "login" sia un URL, qualcosa che molte persone non sanno che esiste in quanto tutto ciò che fanno è digitare una ricerca in Bing / Google e seguire i collegamenti. Conosco molte persone che quando vanno su Facebook, cercano Facebook su Google e fanno clic sul collegamento, non provano a spiegare loro il concetto di dominio!

Su B, Facebook è lo standard. È un po 'come PayPal e le alternative: per un e-commerce PayPal potrebbe non essere l'opzione migliore dal punto di vista dei prezzi a causa dei suoi addebiti sulle transazioni, ma se non usano PayPal stanno rischiando molti potenziali clienti. L'accesso è lo stesso: Facebook apre il tuo Web a 500 milioni di utenti che sono utenti di Internet attivi e abbastanza esperti di tecnologia da probabilmente "ottenere" il tuo sito. Onestamente, perché dovresti dedicare più tempo a sostenere altre cose? Dedica tempo allo sviluppo del prodotto!

A causa di B, A peggiora quando gli utenti si aspettano il login di Facebook e Open Id li confonde di più.

E non inizio con i problemi già discussi in Code Horror sull'accesso degli utenti nello stesso sito con account Open Id diversi e i problemi che questo può sollevare ...

Tutto sommato, mi piace l'idea su Open ID, ma (purtroppo?) Facebook ha fatto meglio.


4
Ho visto molte implementazioni che sono davvero cattive. Ma l'implementazione qui su Stack Exchange è, a mio avviso, piuttosto buona. Probabilmente potresti fare un ulteriore passo avanti e rendere l'esperienza molto simile all'esperienza di "accesso con Facebook" (anche Google e Yahoo supportano una sorta di ibrido OAuth o OpenID / OAuth). Sono totalmente d'accordo sul fatto che vedere più fornitori può essere fuorviante e causare alcuni problemi aggiuntivi, ma d'altra parte ciò offre maggiore flessibilità al tuo utente (anche io conosco persone che non usano Facebook).
DoPPler,

Il fatto che devo accedere ogni volta che vado in un altro ramo di SE mi fa sentire che l'implementazione è scarsa. FFS, se ho usato il mio OpenID per registrarmi su SO e Prog, perché diavolo devo accedere ad entrambi nella stessa visita? Questo è progresso?!?
Estratto il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.